Il Garante per la protezione dei dati personali ha recentemente inflitto una sanzione di 420.000 euro ad Autostrade per l’Italia per l’utilizzo illecito di dati personali acquisiti da social network come Facebook, Messenger e WhatsApp, impiegati per avviare un procedimento disciplinare contro una dipendente.
Questo caso evidenzia delicati profili legati al confine tra il legittimo controllo dell’attività lavorativa e la tutela della sfera privata, soprattutto in un’epoca in cui i dati personali sono facilmente accessibili tramite piattaforme digitali.
Nel provvedimento, il Garante ha sottolineato due profili distinti ma complementari di violazione: da un lato, la mancanza di una base giuridica valida e la violazione del principio di finalità nel trattamento di dati raccolti in contesti privati o ristretti.
Dall’altro, l’uso illecito di dati extra-lavorativi, cioè informazioni non pertinenti all’attività professionale e quindi non utilizzabili per fini disciplinari.
Il caso rappresenta un monito per tutte le aziende, pubbliche e private, chiamate a bilanciare le esigenze organizzative e disciplinari con la tutela dei diritti fondamentali dei lavoratori sanciti dalla Costituzione, dallo Statuto dei Lavoratori e dal GDPR.
Indice degli argomenti
Il contesto e la normativa applicabile
L’uso di dati personali raccolti da social network in ambito lavorativo è un tema complesso, regolato da norme stringenti.
Il GDPR (Regolamento UE 2016/679) impone il rispetto di principi fondamentali come la liceità, la pertinenza e la limitazione della finalità del trattamento. Inoltre, il Codice Privacy italiano stabilisce precise regole in materia di controlli sul lavoratore, tutelando la sua sfera privata.
Nel caso Autostrade per l’Italia, la raccolta di informazioni da Facebook, Messenger e WhatsApp è stata giudicata sproporzionata e priva di una valida base giuridica.
L’azienda ha, infatti, utilizzato dati personali acquisiti in ambito privato per giustificare una contestazione disciplinare, violando i limiti imposti dalla normativa.
Il reclamo
La dipendente ha presentato reclamo contro Autostrade per l’Italia, lamentando l’uso improprio di dati personali, ricavati da Facebook, Messenger e WhatsApp, impiegati per due contestazioni disciplinari a suo carico.
Nel dettaglio, la prima contestazione del 16 febbraio 2024 faceva riferimento a post pubblicati sul profilo Facebook della dipendente, mentre un’altra conteneva estratti di conversazioni su Messenger e immagini condivise tramite WhatsApp con colleghi.
L’Autorità ha avviato un’istruttoria preliminare, chiedendo chiarimenti alla società, che ha ammesso di essere venuta a conoscenza dei contenuti tramite dipendenti che li avevano ricevuti attraverso messaggi WhatsApp.
La società ha giustificato il trattamento dei dati con il legittimo interesse di tutelare i propri diritti in ambito lavorativo, in relazione anche a un procedimento giudiziario in corso.
La natura privata delle comunicazioni online
La decisione del Garante affonda le radici in un principio fondamentale dell’ordinamento giuridico: la libertà e la segretezza delle comunicazioni sono diritti inviolabili, tutelati dalla Costituzione (art. 15) e limitabili solo con un atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge.
E questo vale anche per le forme moderne di comunicazione: e-mail, messaggi WhatsApp, SMS, Messenger, e simili rientrano pienamente nella tutela costituzionale, come ha chiarito anche la Corte costituzionale con una recente sentenza (n. 170/2023).
Una visione condivisa anche dalla Corte europea dei diritti dell’uomo, che ha più volte ribadito che le comunicazioni elettroniche nel contesto lavorativo – comprese quelle su sistemi di messaggistica istantanea – sono coperte dalla tutela dell’art. 8 della CEDU, che garantisce il diritto al rispetto della vita privata e della corrispondenza (tra le decisioni principali, Bărbulescu v. Romania e Copland v. UK).
In linea con questa giurisprudenza, la Corte di Cassazione, con una recente sentenza (n. 5354/2025), ha riconosciuto che la lettura da parte del datore di lavoro dei messaggi scambiati in una chat privata tra colleghi – anche se forniti da uno dei partecipanti – viola il diritto alla riservatezza del lavoratore, sottolineando che non è dirimente che il datore non abbia reperito i dati di propria iniziativa: ciò che conta è la natura privata della conversazione.
La posizione di Autostrade per l’Italia
Nel corso dell’istruttoria, la società ha sostenuto di non aver avuto un ruolo attivo nella raccolta dei dati, che sarebbero stati acquisiti passivamente tramite segnalazioni interne. Ha inoltre richiamato l’articolo 8 della Legge 300/1970 (Statuto dei Lavoratori), che vieta al datore di lavoro “di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.
Secondo la società, questo divieto riguarda le “indagini” attive, mentre nel caso specifico i post su Facebook e le conversazioni su Messenger e WhatsApp erano “pervenuti” spontaneamente e non sono stati ricercati né raccolti direttamente dall’azienda.
La società ha inoltre richiamato un precedente parere del Garante del 2017, sostenendo che i dati in questione potevano essere usati a fini disciplinari, e ha contestato l’assenza di un “test di bilanciamento” tra interessi aziendali e tutela della privacy, affermando che il trattamento non configurerebbe una indagine vietata dallo Statuto, in quanto non effettuata attivamente dall’azienda.
Le contestazioni del Garante privacy
Nel merito, l’Autorità ha evidenziato come l’acquisizione e l’utilizzo, da parte di Autostrade per l’Italia, di screenshot tratti dal profilo Facebook della dipendente e da conversazioni private via Messenger e WhatsApp costituiscano un vero e proprio trattamento di dati personali, ai sensi dell’art. 4, par. 1, n. 2 del Regolamento (UE) 2016/679 (GDPR).
Tale disposizione qualifica come “trattamento” qualsiasi operazione effettuata su dati personali, tra cui la raccolta, la registrazione, la conservazione, l’uso e la comunicazione.
La società, pur non avendo svolto un’attività diretta di ricerca delle informazioni, ha comunque deciso di utilizzare i contenuti trasmessi da terzi all’interno di un procedimento disciplinare, trascrivendoli nelle lettere di contestazione.
Il Garante ha precisato che la mancanza di un “ruolo attivo” da parte del datore di lavoro nell’ottenere le informazioni non esclude la configurabilità del trattamento, il quale si realizza già al momento della ricezione e del successivo utilizzo dei dati, anche se trasmessi spontaneamente da soggetti terzi.
Richiamando la giurisprudenza di legittimità (Cass. civ. n. 21107/2014), il Garante ha sottolineato che il semplice fatto oggettivo dell’acquisizione di dati riferibili al lavoratore è sufficiente a configurare un trattamento, la cui liceità deve essere valutata alla luce delle basi giuridiche previste dall’art. 6 del GDPR.
In questo caso, la società ha invocato il proprio “legittimo interesse” a trattare i dati (art. 6, par. 1, lett. f) per finalità connesse alla gestione del rapporto di lavoro e alla tutela dei propri diritti.
Tuttavia, secondo il Garante, tale legittimo interesse non può prevalere in assenza di un effettivo bilanciamento con i diritti e le libertà fondamentali della lavoratrice, come previsto dallo stesso Regolamento.
In particolare, l’Autorità ha rilevato che il contenuto delle comunicazioni acquisite involgeva aspetti della vita privata della dipendente, e che l’azienda non aveva adottato alcuna misura idonea a minimizzare l’invasività del trattamento o a garantire la proporzionalità tra i mezzi utilizzati e la finalità perseguita.
I dati “pubblici” non sono automaticamente “liberamente utilizzabili”
Nel valutare la liceità del trattamento dei dati raccolti da Autostrade per l’Italia, il Garante ha richiamato un principio già affermato in precedenti decisioni: la semplice pubblicazione di informazioni su piattaforme accessibili al pubblico, come un sito web o un social network, non implica automaticamente il libero utilizzo di quei dati per qualsiasi finalità.
In particolare, l’impiego di tali informazioni in un contesto diverso da quello originario – come quello disciplinare o lavorativo – richiede una specifica base giuridica e un’attenta valutazione della compatibilità tra le finalità iniziali e quelle successive.
L’Autorità ha ribadito che la diffusione volontaria di contenuti sui social, anche in aree pubbliche, non equivale a un consenso generale al loro riutilizzo da parte di terzi, tanto meno da parte del datore di lavoro per finalità disciplinari.
Tale principio è stato affermato anche dalla giurisprudenza (Cass. civ. n. 21107/2014), secondo cui l’immissione di dati personali in rete non implica un consenso implicito al loro trattamento per finalità diverse da quelle per cui sono stati condivisi. Inoltre, l’analisi e la combinazione di tali dati possono generare un “valore informativo aggiunto”, potenzialmente lesivo della dignità della persona.
A rafforzare questa posizione, il Garante ha citato anche documenti internazionali come il Parere 1/2017 del Gruppo di lavoro ex art. 29 e la Raccomandazione CM/Rec(2015)5 del Consiglio d’Europa, che invitano a limitare l’uso dei dati personali dei dipendenti, in particolare quando raccolti tramite social media, se non strettamente necessario e proporzionato rispetto agli obiettivi perseguiti.
Il principio di finalità e la mancanza di una base giuridica valida
Autostrade per l’Italia ha trattato dati personali della dipendente presi da Facebook, Messenger e WhatsApp senza una chiara base giuridica, come invece richiede l’art. 6 del GDPR. Gli screenshot dei suoi commenti, visibili solo ai “contatti” su Facebook, sono stati trasmessi in azienda da un collega-amico: la lavoratrice si aspettava quindi che quei contenuti rimanessero ristretti a una cerchia selezionata.
Secondo il Garante, questo tipo di dati, condivisi in gruppi chiusi o chat private, va considerato alla stregua di “corrispondenza privata” (Cass. 21965/2018) e non può essere usato per scopi diversi da quelli originari senza un’adeguata valutazione dei diritti in gioco.
La tesi difensiva che trasforma il principio di finalità in un “salvacondotto” per il lavoratore non regge: l’esercizio del potere disciplinare va bilanciato con la riservatezza e la protezione dei dati personali. In mancanza di un’effettiva base giuridica, proporzionale e contestualizzata, l’uso di informazioni tratte da social e app di messaggistica è da considerarsi illecito.
A ciò si aggiunge un ulteriore aspetto: anche qualora i contenuti fossero stati pubblicati in sezioni del profilo liberamente accessibili, essi sarebbero comunque stati destinati a finalità diverse — espressione del pensiero o comunicazione interpersonale — rispetto a quelle perseguite dal datore di lavoro, che ha utilizzato le informazioni per finalità disciplinari.
Questo uso risulta incompatibile con il principio di finalità sancito dall’art. 5 del GDPR, secondo cui i dati devono essere raccolti per scopi specifici, espliciti e legittimi, e non possono essere successivamente trattati in modo incompatibile con tali scopi.
Il Garante ha rigettato l’argomentazione difensiva della società, secondo cui l’applicazione del principio di finalità si tradurrebbe in una sorta di “salvacondotto” per il lavoratore. Al contrario, l’esercizio del potere disciplinare, pur legittimo, deve essere sempre sottoposto a un rigoroso bilanciamento con i diritti fondamentali della persona, come la riservatezza e la protezione dei dati personali.
Pertanto, l’uso di contenuti acquisiti tramite social media e app di messaggistica per finalità disciplinari può considerarsi legittimo solo quando si fondi su una base giuridica adeguata, sia proporzionato rispetto alla finalità perseguita, e sia rispettoso del contesto originario in cui i dati sono stati condivisi.
La mera accessibilità online non rende legittimo qualsiasi tipo di trattamento.
Legittimo interesse e test di bilanciamento: un obbligo non assolto
Autostrade per l’Italia ha giustificato il trattamento dei dati personali affermando di aver agito per tutelare i propri interessi legittimi in relazione alla gestione del rapporto di lavoro.
Tuttavia, secondo il GDPR, questo tipo di giustificazione – basata sull’art. 6, par. 1, lett. f) – richiede un’attenta valutazione preventiva, che tenga conto dell’impatto sui diritti fondamentali dell’interessato e, soprattutto, che sia dimostrabile e documentata.
In questo caso, la società ha dichiarato genericamente di aver svolto un’analisi, ma non ha fornito alcuna prova concreta né una valutazione basata su criteri oggettivi, come invece richiesto dal principio di “responsabilizzazione” del titolare del trattamento (art. 5, par. 2, GDPR).
Il Garante ha rilevato anche la mancata applicazione del principio di minimizzazione, evidenziato in recenti decisioni della Corte di Giustizia UE (Meta Platform, C-252/21), secondo cui il trattamento dei dati personali può considerarsi necessario solo se non esistono alternative meno invasive per raggiungere gli stessi obiettivi.
Nel caso specifico, la società non ha neppure dimostrato di aver valutato l’impatto del trattamento sui diritti della lavoratrice né di aver considerato soluzioni meno intrusive, nonostante le contestazioni disciplinari potessero fondarsi anche su altri elementi (come l’intervento delle forze dell’ordine richiesto dalla dipendente).
Infine, ha chiarito il Garante, non spetta all’Autorità selezionare i fatti rilevanti per il procedimento disciplinare, ma è compito del titolare – e in questo caso dell’azienda – valutare ex ante e documentare la liceità, proporzionalità e adeguatezza del trattamento effettuato, come richiesto dal GDPR e dalla Carta dei diritti fondamentali dell’Unione europea.
Uso illecito di dati extra-lavorativi
Ulteriore profilo di illiceità riscontrato dal Garante riguarda il contenuto stesso dei dati trattati, raccolti da Facebook, Messenger e WhatsApp. Le informazioni acquisite, infatti, consistevano in opinioni personali e conversazioni avvenute in contesti estranei all’ambito lavorativo, quindi non pertinenti alla valutazione dell’attitudine professionale della dipendente.
In particolare, dalle conversazioni su Messenger con un esponente del WWF emergeva una divergenza di opinioni in merito all’operato della Società in relazione alla tutela ambientale, con riferimenti ironici o critici sull’abbattimento degli alberi.
Tali contenuti erano stati allegati alla contestazione disciplinare, così come un commento della lavoratrice inviato via WhatsApp ad alcuni colleghi, dove affermava la propria aderenza alle direttive aziendali, contrapponendosi a chi, a suo dire, “aveva qualcosa da nascondere”.
Anche i post pubblicati su Facebook riguardavano esclusivamente valutazioni di carattere ambientale, senza alcun riferimento esplicito alla società, e comunque non attinenti alle mansioni lavorative svolte.
Secondo il Garante, la liceità del trattamento dei dati personali deve essere valutata alla luce non solo del Regolamento UE, ma anche delle disposizioni nazionali più restrittive in ambito lavorativo, come previsto dagli articoli 88 del GDPR e 113 del Codice Privacy.
Quest’ultimo, in particolare, richiama gli articoli 8 dello Statuto dei Lavoratori e 10 del D.lgs. 276/2003, i quali vietano al datore di lavoro la raccolta e il trattamento di informazioni non strettamente pertinenti all’attitudine professionale, comprese opinioni politiche, religiose o sindacali.
Il Garante sottolinea che tale divieto riguarda anche la mera raccolta delle informazioni, indipendentemente dal fatto che il datore di lavoro vi abbia avuto accesso in modo “passivo” – come nel caso in esame, in cui alcuni contenuti erano stati inoltrati da terzi tramite WhatsApp.
Infatti, anche una successiva verifica o comparazione con altri dati (come accaduto nel caso concreto con gli screenshot dei post raffrontati a una relazione di servizio della Polizia) configura un trattamento illecito se finalizzato a un procedimento disciplinare.
Non regge, secondo l’Autorità, nemmeno la difesa della società che ha sostenuto l’inapplicabilità dell’art. 10 del D.lgs. 276/2003, in quanto riferito agli operatori del mercato del lavoro.
Al contrario, tale norma è parte integrante di un sistema di tutele che protegge la dignità e la riservatezza del lavoratore in ambito professionale e che si inserisce nel più ampio quadro europeo contro le discriminazioni (direttive 2000/43/CE e 2000/78/CE).
Il precedente
A sostegno della propria posizione, il Garante richiama anche il proprio precedente provvedimento del 24 aprile 2024, n. 268, in cui ha ritenuto illecito l’utilizzo disciplinare di dati relativi alla vita privata del lavoratore tratti da un sito d’incontri, e ribadisce che le informazioni raccolte fuori dall’ambito lavorativo non possono essere trattate, neppure se acquisite con il consenso, quando non pertinenti alla prestazione lavorativa.
Pertanto, secondo l’Autorità, la società avrebbe dovuto astenersi dall’utilizzare quei dati non pertinenti, come previsto anche dall’art. 2-decies del Codice Privacy, che sancisce l’inutilizzabilità dei dati trattati in violazione della normativa.
Ne deriva una violazione degli articoli 5, par. 1, lett. a) e 88 del GDPR, nonché dell’art. 113 del Codice.
Conclusioni
Il provvedimento del Garante evidenzia con chiarezza che l’utilizzo di dati personali acquisiti da social network e messaggistica privata, anche se ricevuti da terzi, costituisce un trattamento soggetto alle regole del GDPR e deve rispettare i principi di liceità, minimizzazione e pertinenza.
L’uso di dati extra-lavorativi per fini disciplinari, senza un’adeguata base giuridica e senza un bilanciamento effettivo degli interessi in gioco, rappresenta una violazione della privacy e dei diritti fondamentali del lavoratore.
Questa decisione sottolinea l’importanza per le aziende di adottare politiche rigorose e trasparenti nella gestione dei dati personali, evitando pratiche invasive e illegittime che possono portare a sanzioni rilevanti.
In definitiva, il caso conferma che la tutela della privacy rimane un presidio fondamentale anche nel contesto dei rapporti di lavoro e dell’uso delle nuove tecnologie.
